Критична вразливість аутентифікації в Kestra дозволяє віддалене виконання коду
Вразливість CVE-2026-49869 у Kestra дозволяє віддалене виконання коду без аутентифікації. Оновіть Kestra до версій 1.0.45 або 1.3.21.
- CVSS
- 10.0 CRITICAL
- EPSS
- 48.02%
- Активно використовується
- немає в KEV
- Продукт
- kestra
Що відомо
В Kestra до версій 1.0.45 та 1.3.21 у фільтрі аутентифікації використовується некоректна перевірка шляху, що дозволяє обходити аутентифікацію для будь-яких API шляхів, які закінчуються на /configs. Це дає змогу віддаленому зловмиснику без облікових даних створювати та виконувати довільні робочі процеси, що призводить до віддаленого виконання коду з правами root у контейнері Kestra.
Бізнес-вплив
Для операторів ІТ та власників інфраструктури ця вразливість є критичною, оскільки дозволяє неавторизованому користувачу отримати повний контроль над робочим контейнером Kestra. Це може призвести до компрометації систем, витоку даних та порушення цілісності робочих процесів. Вразливість особливо небезпечна через увімкнені за замовчуванням плагіни для виконання скриптів.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Kestra до версій 1.0.45 або 1.3.21, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до API, що містять сегмент /configs, переглянути журнали доступу на предмет підозрілої активності та впровадити додаткові заходи контролю доступу. Пріоритетно оцінити ризики та планувати швидке оновлення.